@Matrix5913 开源只解决了社区内大家一起协同合作开发的问题。如果没有人去检查的话,偷偷在代码中投毒的问题依然难以解决 
只能未来留个心眼:每次要下载跟使用一个软件时,花时间去阅读它的代码、构建方式等,就像使用一个服务前阅读隐私条款一样。
想到个类似的案例,是去年还是前年的 Pake-Plus。因为是利用 GitHub Actions 来构建 app,所以项目会询问用户的 GitHub token。
后来有人发现,代码中该作者会利用这个 token 强行让用户的 GitHub 账户给自己的项目 star、fork 来刷数据。
被揭露后他一是快速在文档中添加了此事的说明,然后颠倒黑白说自己明明在文档里写了、你们没读是你们的问题,二是辱骂反对的用户是「白嫖党」,自己开源想要点 star 怎么了。
实在是难以评价!
很多开源项目很安全的幻觉:你觉得他肯定检查了代码,他觉得你肯定检查了代码,结果就是没人任何人检查代码((所以AI编写代码不知道,检查代码安全性大有可为((
Pake-Plus这么逆天的操作吗?我看作者还在Bilibili很活跃宣传自己的产品......
被揭露后他一是快速在文档中添加了此事的说明,然后颠倒黑白说自己明明在文档里写了、你们没读是你们的问题
@admin @Matrix5913 关于 Pake-Plus 的事情,可以看这个汇总帖: https://linux.do/t/topic/826080/9
因为我之前用过 Pake,也关注过作者 TW93,误以为 Pake-Plus 真的就是更好的 Pake,还傻傻去用了。之后发现自己的账户无缘无故关注了 Pake-Plus 的作者,以及 star 了他的三个 Pake-Plus 项目。
再之后便是看到 TW93 在 Pake-Plus 的 issues 区叫他不要使用 Pake 这个名字,以及 V2EX、Linux.do 上大家挖掘 Pake-Plus 代码中的各种异常之处,才发现自己被骗了。
AI 检查代码让我想起几个月前有个国外的程序员找工作,克隆「公司」代码下来后留了个心眼,让 AI 检查了波代码发现该项目里面有「只要运行了就会盗取 crypto 钱包」的事情。
Yuki婉梦
Cytrogen ⁂
KIP/JΛYCHØU ⁂ 
